Home » Blog Jurídico » Crimes Cibernéticos: o que diz a lei e como se defender

O Brasil vive uma epidemia silenciosa. Apenas no ano de 2024 foram registrados 281 mil casos de estelionato eletrônico, representando aumento de 17% em relação a 2023, segundo o Anuário Brasileiro de Segurança Pública. Os crimes cibernéticos causaram prejuízos estimados em R$ 22,5 bilhões em 2024, afetando milhões de vítimas e desafiando as estruturas tradicionais de investigação e persecução penal. E o cenário de 2025 é ainda mais grave: as denúncias de crimes cibernéticos cresceram 28,4% no Brasil em 2025, segundo levantamento da Central Nacional de Denúncias de Crimes Cibernéticos da SaferNet. Diante desse quadro, compreender a lei que regula os crimes cibernéticos deixou de ser um luxo acadêmico e passou a ser necessidade concreta — tanto para quem é vítima quanto para quem responde a um processo criminal.

Tela com código binário representando ameaça cibernética

O marco legal: da Lei Carolina Dieckmann à Lei 14.155/2021

A legislação brasileira sobre crimes cibernéticos tem uma história marcada por eventos dramáticos. A Lei 12.737/2012, conhecida como Lei Carolina Dieckmann, tipificou no Código Penal a conduta de invadir dispositivo informático com a finalidade de obter, adulterar ou destruir dados, sem autorização do usuário. Mas o texto original era tímido nas punições — se antes era pena de detenção de 3 meses a 1 ano e multa, a Lei 14.155/2021 passou a prever pena de 1 a 4 anos de reclusão e multa.

A promulgação da Lei 14.155, em 27 de maio de 2021, representou um marco significativo no ordenamento jurídico brasileiro, especialmente no que tange ao combate aos crimes cibernéticos, alterando dispositivos do Código Penal e do Código de Processo Penal, visando adequar a legislação às novas modalidades de delitos praticados no ambiente digital. O ponto central da reforma foi o reconhecimento de que o emprego dos meios eletrônicos e das técnicas de engenharia social aumentaram, de modo exponencial, a lesividade destes delitos — em vez de se causar prejuízo a alguns, as condutas agora podem atingir milhões de pessoas.

Invasão de dispositivo informático: o que configura o crime

O crime de invasão de dispositivo informático está tipificado no art. 154-A do Código Penal. O núcleo do tipo é invadir, ou seja, apoderar-se ou ingressar no dispositivo informático para uma das finalidades que compõem os elementos subjetivos especiais do tipo: obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário, ou instalar vulnerabilidades para obter vantagem ilícita. Repare: o crime é formal. A obtenção de qualquer dos resultados almejados pelo sujeito ativo é desnecessária para a consumação — não é preciso que os dados sejam efetivamente obtidos, adulterados ou destruídos.

A Lei 14.155/2021 também trouxe uma mudança sutil, mas relevante, na descrição do objeto material: antes, o dispositivo deveria ser alheio. Agora, basta que seja de uso alheio. Assim, configura o crime se o proprietário do dispositivo o invadir quando estiver sendo usado por outra pessoa, como no caso de empréstimo. Uma situação que antes era juridicamente nebulosa ganhou tipicidade expressa.

Quanto às majorantes, o sujeito invasor que obtiver conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas ou assumir o controle remoto não autorizado do dispositivo invadido terá a pena de reclusão de 2 a 5 anos — pena que na lei anterior era de 6 meses a 2 anos. E há mais: no parágrafo quarto, há um aumento de pena de 2/3 se nas hipóteses do parágrafo terceiro houver divulgação, comercialização ou transmissão a terceiro dos dados ou informações obtidas.

Uma questão processual importante envolve a relação entre a invasão e os crimes subsequentes. O crime previsto no art. 154-A pode ser meio para a prática de infrações mais graves, como estelionatos e furtos mediante fraude. Nesses casos, seja pela subsidiariedade, seja pela consunção, deverá haver prevalência do crime-fim e afastamento do concurso formal ou material com o crime de invasão. Na prática, isso significa que um hacker que invade o dispositivo da vítima para realizar uma transferência fraudulenta não responde por dois crimes autônomos — o crime-fim absorve o crime-meio.

Estelionato digital: penas, qualificadoras e o caso prático

O estelionato é, de longe, o crime cibernético mais comum no Brasil. A fraude eletrônica é espécie de estelionato praticada em ambiente digital marcada pela sofisticação dos meios utilizados para induzir vítimas em erro. A Lei 14.155/2021 criou uma modalidade qualificada específica, inserindo o § 2º-A no art. 171 do Código Penal. A pena é de reclusão de 4 a 8 anos e multa se a fraude é cometida com a utilização de informações fornecidas pela vítima ou por terceiro induzido a erro por meio de redes sociais, contatos telefônicos ou envio de correio eletrônico fraudulento, ou por qualquer outro meio fraudulento análogo.

Antes disso, o estelionatário podia ser punido com pena de reclusão de 1 a 5 anos e multa. A triplicação do patamar mínimo não é detalhe: ela impede a substituição da pena privativa de liberdade por restritiva de direitos nos casos mais graves e dificulta a concessão de benefícios como sursis. Há ainda a causa de aumento do § 2º-B: a pena prevista no § 2º-A aumenta-se de 1/3 a 2/3 se o crime é praticado mediante a utilização de servidor mantido fora do território nacional. Esse dispositivo foi pensado para alcançar as estruturas criminosas que operam offshore, tornando a rastreabilidade mais difícil.

Smartphone com notificação de alerta de segurança digital

Um exemplo prático: o golpe do falso leilão

Imagine a situação de M.R., moradora de São Paulo, que encontrou em uma rede social um anúncio de leilão de veículos com preços abaixo do mercado. Após contato pelo WhatsApp, ela realizou uma transferência via Pix de R$ 12 mil para uma conta em nome de uma pessoa física domiciliada em Recife. O veículo nunca foi entregue. O golpista havia criado um perfil falso simulando um despachante credenciado, com fotos de documentos forjados e avaliações fabricadas.

Nesse caso, a conduta se enquadra no art. 171, § 2º-A do Código Penal: a vítima foi induzida a erro por meio de rede social e realizou transferência de valores. A pena cominada é de reclusão de 4 a 8 anos. E onde tramita o processo? A Lei 14.155/2021 introduziu o art. 70, § 4º do CPP, segundo o qual, nos crimes de estelionato praticados por meio da rede bancária — mediante depósito ou transferência de valores —, a competência será definida pelo local do domicílio da vítima. Portanto, o processo corre em São Paulo, onde M.R. reside, e não em Recife, onde a conta do golpista estava registrada. Essa mudança de competência foi confirmada pelo STJ: em razão da aplicabilidade imediata da norma processual nova, a Terceira Seção do STJ declarou a competência do juízo criminal do domicílio da vítima para analisar caso de estelionato praticado mediante depósito de dinheiro na conta bancária dos criminosos.

A fronteira entre estelionato e furto eletrônico: distinção que importa na defesa

Um dos debates mais relevantes para o advogado criminalista é a distinção entre o estelionato digital e o furto eletrônico mediante fraude (art. 155, § 4º-B do CP). A distinção entre fraude eletrônica e furto mediante fraude eletrônica, embora consolidada pela jurisprudência, ainda demanda uniformização interpretativa, sobretudo diante das rápidas transformações tecnológicas que influenciam a dinâmica delitiva.

A diferença essencial está no papel da vítima: no estelionato, ela é enganada e voluntariamente entrega o bem ou realiza a transferência — há o consentimento viciado pelo erro. No furto eletrônico, a subtração ocorre sem qualquer participação da vítima, geralmente por meio de malware, acesso não autorizado ou clonagem de credenciais bancárias. O advogado deve estar atento ao momento consumativo descrito: houve entrega voluntária do bem (estelionato) ou subtração (furto)? Essa distinção não é acadêmica — ela define o tipo penal, a pena aplicável e as regras de competência. Uma defesa técnica apurada deve analisar se a descrição fática corresponde ao tipo penal imputado e se, consequentemente, o processo tramita no foro correto.

Crimes cibernéticos em 2025 e 2026: um cenário que não para de evoluir

O primeiro semestre de 2025 foi marcado por importantes ataques cibernéticos no Brasil, afetando desde instituições públicas de grande porte até empresas privadas e serviços financeiros — tribunais, bancos e plataformas digitais foram alvos de vazamentos de dados, sequestros de informações e fraudes envolvendo o Pix. Entre os casos mais graves está o desvio de mais de R$ 500 milhões de contas públicas por meio de transferências fraudulentas via Pix, um golpe considerado histórico pela Polícia Federal.

O Centro de Prevenção, Tratamento e Resposta a Incidentes de Governo (CTIR) apontou que em apenas 7 meses de 2025, o número de incidentes já superou os totais registrados em 2023, 2022 e 2021. Em resposta, a Polícia Federal lançou, em junho de 2025, a Operação Timeout, com foco na investigação e desarticulação de grupos especializados em crimes digitais que afetaram instituições em diferentes níveis, de prefeituras a órgãos federais. As investigações revelaram a sofisticação das estruturas criminosas: uso de infraestrutura internacional, mascaramento de IPs, VPNs e publicações em fóruns da deep web para ocultar a origem dos ataques.

Estratégias de defesa: o que fazer quando o acusado é o cliente

Quando o advogado está no polo da defesa em um processo por crime cibernético, alguns eixos de atuação são fundamentais. O primeiro deles é a prova digital. A Quinta Turma do STJ decidiu que são inadmissíveis no processo penal as provas obtidas de celular quando não forem adotados procedimentos para assegurar a idoneidade e a integridade dos dados extraídos, pois as provas digitais podem ser facilmente alteradas, inclusive de maneira imperceptível. Isso significa que prints de tela, capturas de WhatsApp e registros de aplicativos obtidos sem laudo pericial que ateste a cadeia de custódia são tecnicamente imprestáveis.

O segundo eixo é a questão do dolo. Um dos principais argumentos de defesa em crimes digitais é a ausência de dolo — o dolo implica a intenção clara de cometer o ato ilícito, e pode-se argumentar que o acusado não tinha conhecimento das consequências de suas ações ou que o ato foi realizado sem a intenção de causar danos. Em crimes de invasão de dispositivo, por exemplo, o acesso não autorizado precisa ser demonstrado: alguém que acessa um sistema com credenciais que lhe foram fornecidas, ainda que indevidamente por terceiros, não pratica o tipo penal do art. 154-A.

O terceiro eixo é a competência. Cabe à defesa técnica combater interpretações extensivas que violem o princípio do juiz natural. O questionamento da competência territorial no momento oportuno pode evitar nulidades, garantir o exercício pleno da ampla defesa e assegurar que o processo transcorra perante o juiz natural, princípio basilar do Estado Democrático de Direito. A Lei 14.155/2021 criou regras específicas de competência para o estelionato via transferência ou depósito bancário, mas essas regras não se aplicam a todas as modalidades. Para o estelionato mediante cheque falsificado, por exemplo, ainda é aplicável a Súmula 48 do STJ: compete ao juízo do local da obtenção da vantagem ilícita processar e julgar o crime.

Cadeado digital sobre circuito eletrônico representando segurança da informação

O que a vítima pode fazer

Do lado da vítima, o caminho começa pelo registro de boletim de ocorrência na delegacia de crimes cibernéticos do estado — a Polícia Civil mantém delegacias especializadas em crimes cibernéticos em vários estados, e a Polícia Federal atua em casos de maior complexidade, que envolvem crimes interestaduais ou internacionais. A preservação das provas é urgente: prints com metadados, extratos bancários, histórico de conversas exportado com protocolo técnico e registros de acesso são elementos essenciais para a instrução criminal. As vítimas têm o direito de denunciar o crime às autoridades competentes e de buscar a reparação de danos, sejam eles morais ou materiais, podendo também requerer a retirada de conteúdos ofensivos da internet e a aplicação das penas previstas em lei ao infrator.

Crimes cibernéticos, lei vigente e o desafio que não termina

A Lei 14.155/2021 representou um avanço real: penas mais severas, tipificação mais precisa do estelionato digital e novas regras de competência que facilitam a persecução penal. Mas a lei sozinha não resolve. Embora o avanço legislativo tenha proporcionado maior proteção jurídica, a efetividade da lei ainda é limitada pela dificuldade de adaptação do sistema judicial às particularidades dos crimes digitais e pela escassez de recursos especializados. O combate eficaz às fraudes eletrônicas exige atualização legislativa contínua, capacitação técnica dos órgãos de persecução penal e cooperação internacional aprimorada, garantindo equilíbrio entre eficiência repressiva e respeito às garantias constitucionais.

Para o cidadão comum, a compreensão do marco legal dos crimes cibernéticos é o primeiro passo — seja para reconhecer quando foi vítima de um ilícito tipificado, seja para entender os direitos que o acusado preserva dentro do processo penal. O direito penal digital exige leitura técnica afinada com a realidade tecnológica, e essa leitura não se faz sem assessoria jurídica especializada.

Se você passou por uma situação envolvendo invasão de dispositivo, fraude eletrônica ou qualquer outro ilícito praticado no ambiente digital, o caminho mais seguro é buscar orientação de um advogado criminalista com experiência nessa área antes de tomar qualquer medida — seja como vítima, seja como investigado. As consequências jurídicas de agir sem suporte técnico adequado, nesse campo, podem ser irreversíveis.

Referências e fontes: Lei 14.155/2021 – Planalto.gov.br | STJ – Competência no Estelionato Eletrônico | Conselho Nacional de Justiça | Direito Penal Empresarial – Tribunal.adv.br | Defesa Criminal em Casos de Estelionato – Tribunal.adv.br

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima